Múltiples campañas de phishing y smishing suplantando a la Agencia Estatal de Administración Tributaria (AEAT)
Aquellos usuarios que hayan accedido a la página web fraudulenta descrita en este aviso y facilitado sus datos.
Desde INICBE se ha detectado una campaña de suplantación a la Agencia Estatal de Administración Tributaria (AEAT) a través de notificaciones por correo electrónico y mensajes de texto (SMS), con el objetivo de engañar a las víctimas para que faciliten sus datos personales y bancarios.
Si has recibido un correo electrónico o un mensaje de texto (SMS), supuestamente de la AEAT, pero no has accedido al enlace fraudulento que acompaña al mensaje, te recomendamos que lo reportes enseguida a nuestro buzón de incidentes. Esto nos permitirá recopilar la información para prevenir que otros usuarios caigan en este tipo de fraude. Además, bloquea al remitente y elimina el mensaje de tu bandeja de entrada, ya sea desde tu gestor de correo electrónico o desde tu dispositivo móvil.
En el caso de haber accedido al enlace y haber facilitado información personal y/o bancaria, te recomendamos que realices las siguientes recomendaciones:
- Ponte en contacto con la Línea de Ayuda en Ciberseguridad para que te asesoremos forma especializada.
- Contacta con tu entidad bancaria para que puedan ayudarte a bloquear cualquier movimiento no autorizado y la tarjeta bancaria.
- Si has facilitado una imagen de tu DNI, deberás acudir a tu oficina de expedición de DNI más cercada para renovarlo. Una vez renovado, tu anterior carnet ya no se podrá utilizar para poder suplantarte y cometer otro tipo de fraudes.
- Reúne y guarda todas las evidencias disponibles sobre el fraude, como capturas de pantalla o enlaces maliciosos. Puedes utilizar servicios de testigos online para validar la recopilación de pruebas, especialmente en este caso de smishing o phishing.
- Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las pruebas recopiladas durante el proceso.
- Practica egosurfing de manera periódica hasta pasados unos meses para detectar si tu información personal ha sido expuesta o utilizada de forma indebida.
Si dudas sobre la legitimidad de una comunicación vía SMS o correo electrónico, verifica siempre antes de actuar por los canales oficiales, como la web de la Agencia Tributaria.
Se han detectado recientemente varias campañas de phishing y smishing que intentan suplantar a la AEAT. El fraude consiste en el envío de notificaciones a través de correo electrónico o mensajes de texto en el que te informan de que tienes que acceder a un enlace para consultar más información sobre el estado de una deuda, una incidencia en el ejercicio de 2024 o un reembolso de impuestos.
Las notificaciones, aparentemente, están bien redactadas y maquetadas, aunque si nos fijamos en la dirección de correo del remitente, este no tiene relación con el dominio oficial de la agencia tributaria “agenciatributaria.gob.es”. En los mensajes de texto se puede detectar alguna falta de ortografía.
Algunos de los asuntos identificados:
- [AEAT] Notificación Oficial: Reembolso de Impuestos Aprobados
- Obligación tributaria vencida #XXXXX
- Notificación Oficial - Agencia Tributaria
Algunos ejemplos identificados:
![[AEAT] Notificación Oficial: Reembolso de Impuestos Aprobados](/sites/default/files/Avisos/ciu/20250918_AEAT/Notificacion1.png)
Si se pulsa sobre los enlaces, se accede a un sitio web con la apariencia de la web legítima de la AEAT donde se solicita realizar una identificación y a continuación, rellenar formularios de datos personales y de la tarjeta de crédito.
Una vez facilitados los datos, los estafadores ya dispondrán de ellos para poder realizar diversos fraudes.
